Menu Close
Settings Close

Language and Page Formatting Options

13.3. 使用其它信任源将文件标记为可信

fapolicyd 框架信任 RPM 数据库中包含的文件。您可以通过在 /etc/fapolicyd/fapolicyd.trust plain-text 文件或 /etc/fapolicyd/trust.d/ 目录下添加对应的条目将额外文件标记为可信文件,这样支持将可信文件列表分隔到更多文件中。您可以使用文本编辑器或通过 fapolicyd-cli 命令修改 fapolicyd.trust/etc/fapolicyd/trust.d 中的文件。

注意

使用 fapolicyd.trusttrust.d/ 将文件标记为可信,比因为性能原因而更好地编写自定义 fapolicyd 规则。

先决条件

  • fapolicyd 框架部署在您的系统上。

步骤

  1. 将自定义二进制文件复制到所需的目录中,例如:

    $ cp /bin/ls /tmp
    $ /tmp/ls
    bash: /tmp/ls: Operation not permitted
  2. 将自定义二进制文件标记为可信,并将对应的条目添加到 /etc/fapolicyd/trust.d/ 中的 myapp 文件中:

    # fapolicyd-cli --file add /tmp/ls --trust-file myapp
    • 如果您跳过 --trust-file 选项,则上一个命令会将对应的行添加到 /etc/fapolicyd/fapolicyd.trust
    • 要将目录中所有现有的文件标记为可信,请提供目录路径作为 --file 选项的参数,例如: fapolicyd-cli --file add /tmp/my_bin_dir/ --trust-file myapp
  3. 更新 fapolicyd 数据库:

    # fapolicyd-cli --update
注意

更改可信文件或目录的内容会改变其校验和,因此 fapolicyd 不再被视为信任它们。

要使新内容再次信任,请使用 fapolicyd-cli --file update 命令刷新文件信任数据库。如果没有提供任何参数,则整个数据库都会刷新。或者,您可以指定特定文件或目录的路径。然后,使用 fapolicyd-cli --update 来更新数据库。

验证

  1. 检查您的自定义二进制文件现在是否可以执行,例如:

    $ /tmp/ls
    ls

其他资源

  • fapolicyd.trust(13) man page。